新攻擊手法挑戰現有資安管理機制
第5屆駭客年會所揭露的攻擊手法,讓企業重新檢視資安工具,包括防毒軟體、應用程式防火牆,甚至是每個人都會使用的瀏覽器,以「早於駭客攻擊」思維提出許多反省之道
在今年7月下旬,由Chroot舉辦的第5屆臺灣駭客年會(Hacks In Taiwan),報名人數超過380人,超過3分之1是學生報名,此次更首度有美國軍方資安人員、日本國家級資安人員參與此次活動。
主辦人網駭科技總經理徐千洋表示,企業資安環境挑戰越來越嚴峻,從今年駭客年會的各種資安議題來看,企業使用各種資安產品都已經必須「進階」優化的階段,單一功能或單一面向的產品,面對駭客思維的改變,已經不敷企業使用。他希望企業透過駭客年會的議程,能「預先」了解駭客攻擊思維,才能有效反思企業現有的資安政策走向。
防毒軟體都不防毒了
臺灣超過9成以上的企業,都有安裝防毒軟體。但是IT人員知道嗎?隨著駭客思維的進步,原本企業以為安全的環境都已經不安全了。專注於微軟平臺安全的資安研究人員Nanika在第5屆臺灣駭客年會中表示,如何反制防毒軟體的偵測,一直是許多駭客積極努力的目標。
Nanika收集了很多國、內外的相關免殺與Rootkit技術,並以自己實務經驗與能力進行整理,製作成一個將Rookit技術裝進系統的小工具,稱之為「送行者」。這個工具一旦置入系統,便會將Windows作業系統相關的通訊機制攔截掉。換句話說,就是把作業系統弄啞,因此所有防毒軟體都看不到也聽不到病毒。
會中,Nanika利用軍隊打仗與警衛防守要塞,往往會顧及前方卻疏於後方當作例子,並用了一個透過還原程式的小技巧,然後將整個作業系統的溝通通訊機制換掉。現場,他還開放聽眾點播,讓大家點名要躲避哪一套防毒軟體。在這個測試該惡意程式是否能夠躲過各家防毒軟體的偵測時,從國際知名大廠,甚至是中國防毒軟體,都無法偵測到該惡意程式,順利迴避成功。
這樣的入侵手法,就好像找到一個系統的門口,駭客偷偷跑進去裝竊聽器,但只要能夠先把門口漏洞防堵掉,駭客也無法順利安裝竊聽器。
Nanika指出,目前主要系統入侵的方式包括,把舊的修補程式(Patch)替換成新的修補程式,利用舊有的漏洞進入,利用微軟MS07-067的漏洞進入,或者是複製一個系統指令突破系統環境。他表示,上述幾種方式都是駭客用來入侵企業系統環境的第一步。
實做全球第一個瀏覽器附加元件的傀儡電腦
除了多數企業都有安裝的防毒軟體,駭客透過還原或將Rootkit裝進系統的方式,讓所有惡意程式得以迴避各種防毒軟體的偵測外,對企業而言,另外一個最重要的應用程式就是瀏覽器,加上近年來為了便利不同分公司同仁,也都能使用企業內部的系統,都將系統登入作成Web化,透過瀏覽器當入該系統。
中研院資訊科技創新研究中心自由軟體鑄造場軟體工程師曾義峰(Ant)目前已經實做出全球第一個新型態的傀儡電腦,這是一種基於瀏覽器、社交工程和純JavaScript語言的傀儡電腦研究。
曾義峰表示,傳統傀儡電腦1.0只能攻擊單一平臺,但到了傀儡電腦2.0則可以利用瀏覽器跨平臺的特性進行攻擊。由於傀儡電腦具有高隱匿難追蹤的特性,他認為可以透過了解傀儡電腦的演化史,推對傀儡電腦未來演進的方向。
目前傀儡電腦大部分會利用包括IRC、Http、P2P、IM(即時通訊)以及自己特殊的通訊埠和外界進行溝通,隨著瀏覽器越來越貼近每個使用者,曾義峰認為,奠基在瀏覽器上的傀儡電腦,因為非常容易模擬正常行為、具有跨平臺特性,也是企業最常使用的應用程式和白名單的常客外,也能夠完全使用正常的DNS 查詢,「這也使得奠基於瀏覽器上的傀儡電腦,極易被人忽略。」
曾義峰在現場示範,將傀儡電腦偽裝成瀏覽器的附加元件(Plug In),嵌入在瀏覽器的頁面上,安裝後除了有正常功能也可聽令行事。他指出,目前資安研究最大的盲點在於,多數研究員或企業IT、資安人員,都等到駭客把某技術純熟化後,才進行防堵研究。這次新型的傀儡電腦就是預測駭客未來的攻擊模式,而且,這個新型態的傀儡電腦,的確可以繞過目前所有的防護措施,而且目前一點防堵辦法也沒有。
身為資安研究人員,曾義峰認為,資安研究不應該跟著駭客的腳步走,而是在更前瞻的預測未來攻擊,這樣,他所提出新型態的傀儡電腦,企業才能夠防範這種未來的攻擊模式。他指出,瀏覽器附件安全性只是其中的一種入侵途徑,即使瀏覽器安全措施做得好,駭客還是有辦法從其它地方達到一樣的入侵手法,只是實作的方法是使用瀏覽器附件。
如何防止這樣的惡意程式攻擊?曾義峰認為,如果是瀏覽器附件的話,要各家瀏覽器廠商提供合法驗證碼,每個元件要經廠商認定後方可安裝,否則用戶安裝時,會顯示警告訊息。但他說,這種方法價值不大,因為很多人會直接按yes,根本不會看任何警告訊息。
各種系統漏洞都容易修補,但大腦的安全訓練確是耗時又艱難,他預測,未來駭客將會大量轉往社交工程攻擊行為,對企業用戶而言,最好的防護方式,還是隨時加強資訊安全訓練課程,加強攻擊模式及未來可能模式的宣導,以及社交工程攻擊的問題。
網路銀行應避免任何不必要的訊息回傳
中央大學先進防禦實驗室(ADL)博士班研究生林佳潤則對於許多網路銀行的安全性提出質疑。在不涉及任何入侵手法,單就許多網路銀行回傳的錯誤訊息,林佳潤就有相關的資訊判定該網路銀行可能會潛藏哪些網路或系統漏洞。
林佳潤表示,他在看國、內外各網路銀行所回傳的各種錯誤訊息中,他發現日本和瑞士的網路銀行,因為設計較為嚴謹,幾乎找不到任何可以利用的錯誤訊息,也較難了解該網路銀行潛藏的漏洞。
他認為,許多臺灣的銀行業者在設計網路銀行時,因為設計還不夠嚴謹,只要了解相關技術的人,極有機會透過許多網站回傳的錯誤訊息,找到網路銀行可能的漏洞。
他認為,「如何確保不要有任何可用的錯誤訊息從網站回傳」,其實是臺灣的網路銀行業者應該注意的關鍵點,也是其該承擔的責任。他說,這些因為網路銀行本身設計不良造成的後果,若遭到惡意人士的誤用,損害的不只是銀行本身,有更多網路銀行的使用者也將淪為受害者。
此外,在這次駭客年會中,也有資安研究員QQ提出一個鄉民型傀儡網路,他表示,這是一個可以利用BBS來控制受害者和傀儡電腦的後門程式,雖然是一種駭客攻擊概念的PoC(觀念驗證),但他也認同,企業資安人員唯有站在駭客攻擊行為的前方,才能真正回頭審視企業現有的資安部署並予以調整。
資料來源:
http://www.ithome.com.tw/it...php?c=56618